Resumo executivo
A Resolução CVM nº 32, de 19 de maio de 2021, disciplina a prestação de serviços de custódia de valores mobiliários. No retrato da redação original, a norma estrutura o regime de autorização, funcionamento, conduta, prestação de informações, controles internos, governança, contratação de terceiros, auditoria e retenção documental aplicável ao custodiante. Também revoga expressamente a Instrução CVM nº 542/2013, o que foi tratado no pacote como alteração de requisito existente, sem transportar para este documento os requisitos da norma revogada.
A curadoria separou os comandos em requisitos operacionais controláveis. A norma não foi tratada como simples texto conceitual: há obrigações de autorização prévia, capacidade operacional e tecnológica, contrato específico, transferência de custódia, segregação de contas, identificação de titularidade, controle de instruções, processamento de eventos, conciliações, informações periódicas aos investidores, cadastro, controles internos, diretores responsáveis, relatório anual, auditoria interna, terceirização e guarda de documentos. A maior parte dos requisitos se dirige ao custodiante autorizado pela CVM; alguns itens também alcançam a entidade que pretende requerer autorização para atuar como custodiante.
Este pacote foi produzido como retrato-fonte da redação original da Resolução CVM 32. A página oficial da CVM indica a existência de texto consolidado e alteração posterior, mas essas alterações não foram incorporadas porque o escopo adotado foi o documento-fonte original. Para uma visão atual consolidada, o documento alterador ou a versão consolidada devem ser processados em pacote próprio ou em extração explicitamente consolidada.
Escopo e sujeitos regulados
O núcleo da norma é a prestação de serviços de custódia de valores mobiliários. A própria Resolução delimita que não se aplica a posições detidas em mercados de derivativos e que se aplica a letras financeiras e outros instrumentos sujeitos à competência da CVM em caso de distribuição pública. Como regra de segmentação do pacote, os requisitos foram direcionados a custodiantes do mercado de capitais. Nos itens de autorização, essa mesma segmentação foi usada como aproximação para entidades que pretendam obter autorização, porque o dicionário de segmentação não possui tag própria para requerente pré-operacional de autorização.
A norma distingue a custódia prestada a investidores e a custódia prestada a emissores de valores mobiliários não escriturais. Para investidores, o serviço envolve conservação, controle e conciliação de posições em contas de custódia, tratamento de instruções de movimentação e tratamento de eventos incidentes sobre os valores mobiliários. Para emissores, envolve guarda física de valores mobiliários não escriturais e procedimentos necessários à efetivação e aplicação do regime de depósito centralizado. Essa distinção orientou a granularidade dos requisitos: há itens específicos para conciliação diária de posições de investidores, sigilo de posições de investidores, informações periódicas aos investidores e cadastro, assim como itens próprios para verificações de valores mobiliários de emissores, movimentações de depósito e retirada, identificação de titulares, guarda física, inventário, conciliação e vedação de atos de disposição fora do depositário central.
A norma também dialoga com depositários centrais. Quando o custodiante mantém vínculo com depositário central, as posições em contas de custódia devem corresponder às posições mantidas pelo depositário central. Esse comando foi absorvido no requisito de conciliação diária porque a execução prática é a comparação recorrente entre base interna e base do depositário. Para serviços a emissores, vários comandos dependem de regulamentos e procedimentos do depositário central. O pacote trata esses regulamentos como referências operacionais, não como obrigações da Resolução CVM 32.
Principais comandos operacionais
O primeiro bloco operacional é a autorização. A prestação de custódia deve ser realizada por pessoa jurídica autorizada pela CVM. A curadoria criou requisito específico para obtenção de autorização, outro para manutenção de capacidade operacional, tecnológica e financeira, e outro para instrução do pedido com os documentos do Anexo A. O Anexo A foi tratado como parte do dossiê de autorização, pois especifica documentos societários, demonstração de capacidade, estrutura de contas, segurança, recursos humanos, políticas de segregação, plano de contingência, organograma, diretores, participações societárias e modelo contratual.
O segundo bloco trata de cancelamento da autorização. No cancelamento a pedido, o custodiante deve demonstrar à SMI que restituiu valores mobiliários aos investidores ou os transferiu a outro custodiante. Em cancelamento por decisão da SMI ou por eventos como falência, liquidação ou dissolução, deve transferir imediatamente valores mobiliários, dados e documentos ao investidor ou à pessoa indicada. Em qualquer hipótese, quando aplicável, deve informar imediatamente os depositários centrais vinculados. Esses comandos foram separados porque envolvem destinatários, evidências e gatilhos diferentes.
O terceiro bloco é a prestação de serviços em si. A custódia deve ser objeto de contrato específico com investidor ou emissor, contendo procedimentos de transmissão de ordens, guarda física quando aplicável, possibilidade de contratação de terceiros e descrição dos riscos inerentes. A transferência de valores mobiliários ao custodiante indicado pelo investidor deve ocorrer em até 2 dias úteis a partir do recebimento de requerimento válido, e o custodiante deve divulgar em sua página os documentos necessários à transferência, além de comunicar não conformidade documental ao cliente no prazo aplicável. Esses requisitos são centrais para portabilidade e transparência.
O quarto bloco reúne regras de conduta e controles de custódia. A norma exige contas individualizadas e segregadas, boa-fé, diligência e lealdade, identificação de titularidade, garantia de integridade dos valores mobiliários, certeza sobre a origem das instruções, boa guarda, movimentação regular, processamento de eventos, registro de gravames e direitos, qualidade permanente dos sistemas, registro de acessos, erros, incidentes e interrupções, segurança física e de dados, recursos humanos suficientes, documentação operacional atualizada e plano de contingência. A curadoria desdobrou esses temas para preservar unidades controláveis e evitar um requisito guarda-chuva excessivamente amplo.
Custódia para investidores
Para custódia prestada a investidores, três frentes merecem atenção específica. A primeira é a conciliação diária entre as posições nas contas de custódia e as posições fornecidas pelo depositário central, quando houver. Essa conciliação é um dos principais controles de integridade de posição e deve gerar evidência diária, inclusive quando não houver divergência. Divergências precisam ter causa, responsável, tratamento e conclusão documentados.
A segunda frente é o sigilo sobre características e quantidades dos valores mobiliários de titularidade dos investidores. O requisito se conecta à segurança da informação, mas foi mantido como item próprio porque protege informações sensíveis de posição, composição de carteira e quantidade custodiada. Perfis de acesso, logs, extrações, compartilhamentos e treinamento das equipes são evidências relevantes.
A terceira frente é a prestação de informações aos investidores. A norma exige informações que permitam identificação e verificação de eventos, com posição consolidada, movimentação e eventos que afetem a posição. Quando houver movimentação, as informações devem ser disponibilizadas ou enviadas até o 10º dia do mês seguinte. Anualmente, as informações do ano anterior devem ser disponibilizadas ou enviadas até o final de fevereiro. Foram criadas recorrências para esses marcos, com observação de que o informe mensal depende de movimentação no mês anterior.
Custódia para emissores e depósito centralizado
Na custódia para emissores, a norma é mais procedimental. O custodiante deve verificar requisitos formais e de criação dos valores mobiliários, verificar os mecanismos próprios de transferência conforme a natureza do ativo e os regulamentos do depositário central, realizar movimentações de depósito e retirada, repassar informações e recursos de eventos, identificar titulares no momento da submissão ao depósito centralizado e posteriormente quando necessário, adotar conciliações estabelecidas pelo depositário central e manter guarda física e registros inventariáveis.
A curadoria separou esses comandos em requisitos distintos porque os controles e evidências mudam. Verificar requisitos formais é uma etapa de aceitação ou submissão do valor mobiliário. Movimentações e eventos envolvem workflow, mensagens, recursos financeiros e confirmações do depositário central. Guarda física e inventário exigem ambiente, acesso, estoque, registros de entrada e saída e campos mínimos como natureza, espécie, classe, movimentações e repasses. A proibição de praticar atos de disposição fora do depositário central recebeu requisito próprio por ser vedação material com alto risco de ruptura da integridade do regime centralizado.
Governança, controles internos e diretoria responsável
A Resolução dedica capítulo específico a regras, procedimentos e controles internos. O custodiante deve adotar regras adequadas e eficazes para cumprir a norma e controles internos para verificar implementação, aplicação e eficácia. Esses instrumentos devem ser escritos, verificáveis e disponíveis para consulta da CVM, depositários centrais vinculados, entidades administradoras de mercados organizados e autorregulação, quando aplicável. A norma deixa claro que inexistência, insuficiência, não implementação ou implementação inadequada são descumprimentos, e que falhas reiteradas ou ausência de registro consistente evidenciam inadequação.
Essa estrutura levou à criação de requisito de governança de controles internos, com matriz, testes, evidências, registros de falhas e planos de ação. O requisito não se limita a uma política; ele demanda demonstração de funcionamento. Para o cliente, esse é um ponto-chave de auditoria e monitoramento contínuo, pois vários demais requisitos dependem de controles escritos e verificáveis.
A norma também exige dois diretores estatutários: um responsável pelo cumprimento da Resolução e outro pela supervisão dos procedimentos e controles internos. As funções não podem ser cumuladas pelo mesmo diretor nem com funções conflitantes. Nomeação ou substituição deve ser comunicada em até 7 dias úteis à CVM, aos depositários centrais e às entidades administradoras aplicáveis. O diretor responsável por controles internos deve enviar ao órgão de administração, até o último dia útil de abril, relatório relativo ao ano anterior com conclusões de auditoria interna, recomendações, cronogramas de saneamento e manifestação sobre deficiências anteriores.
Contratação de terceiros e auditoria
A contratação de terceiros é permitida, mas não transfere a responsabilidade do custodiante. Para atividades reguladas pela Resolução, o terceiro contratado deve ser custodiante autorizado pela CVM. Contratos para atividades reguladas devem conter cláusula de responsabilidade solidária entre contratante e contratado por prejuízos causados aos cotistas em razão de condutas contrárias à lei, ao regulamento e a atos normativos da CVM. Além disso, o custodiante deve manter controles para segurança, mitigação de conflitos de interesses e, quando aplicável, controle efetivo sobre movimentação de valores mobiliários sob guarda física.
Esse tema foi tratado como requisito próprio porque exige due diligence, revisão contratual, monitoramento e evidências de supervisão. A contratação de tarefas acessórias, como guarda física, também pode gerar risco operacional relevante.
A norma exige estrutura de auditoria interna e relatórios atualizados à disposição da CVM. A CVM pode determinar auditorias extraordinárias específicas se houver indício de inadequação dos processos e sistemas. O pacote tratou auditoria interna e auditorias extraordinárias no mesmo requisito, com o gatilho de determinação da CVM registrado em acionamento. Os relatórios de auditoria alimentam o relatório anual de controles internos e a governança de saneamento de deficiências.
Evidências, controles e áreas envolvidas
As áreas mais relevantes são custódia, operações, tecnologia, compliance, riscos e controles, jurídico regulatório, diretoria e auditoria interna. Custódia e operações executam transferências, movimentações, conciliações, inventários, eventos e informações a investidores. Tecnologia e segurança sustentam sistemas, logs, acesso, disponibilidade, cadastro eletrônico e repositórios. Compliance e riscos monitoram autorização, controles internos, prazos, comunicações, evidências, relatórios e falhas. Jurídico cuida de contratos, terceirização, cancelamento, análise de funções dos diretores e comunicações regulatórias. Diretoria e órgão de administração recebem responsabilidades e relatórios. Auditoria interna testa processos e sistemas.
As principais evidências sugeridas incluem comprovante de autorização da CVM, dossiê do Anexo A, protocolos de respostas à SMI, inventários de posições e guarda física, comprovantes de transferência, comunicações a depositários centrais, contratos de custódia, workflows de transferência, páginas de documentação, relatórios de segregação de contas, logs de instruções, registros de eventos, logs de sistemas, manuais e planos de contingência, relatórios de conciliação, matriz de acessos, informes aos investidores, trilhas cadastrais, matriz de controles internos, atos societários de diretores, comunicações de nomeação, relatório anual de controles, contratos de terceiros, relatórios de auditoria e tabela de retenção documental.
Pontos de atenção
O primeiro ponto de atenção é não confundir este pacote com uma consolidação vigente. A extração usa a redação original da Resolução CVM 32. A página oficial da CVM sinaliza alteração posterior, mas o princípio de retrato-fonte impede incorporar comandos de norma posterior sem pedido expresso de consolidação ou processamento do ato alterador.
O segundo ponto é a dependência operacional de depositários centrais. Diversos requisitos dependem de procedimentos, regulamentos, arquivos, sistemas e padrões definidos pelo depositário central. Esses instrumentos devem ser conectados pela empresa como referências operacionais, mas não foram convertidos em requisitos autônomos da CVM 32.
O terceiro ponto é a norma de cadastro de clientes. O art. 15 remete a conteúdo mínimo determinado na norma aplicável, sem detalhar esse conteúdo na Resolução CVM 32. O requisito de cadastro foi mantido, mas o conteúdo específico deve ser complementado com a norma de cadastro pertinente no workspace do cliente.
O quarto ponto é a granularidade. A curadoria evitou criar requisito genérico de “cumprir a Resolução” e também evitou dividir cada inciso em item isolado quando o mesmo processo executa vários comandos. Por outro lado, separou obrigações com prazos, gatilhos, destinatários, evidências ou riscos distintos, como autorização, dossiê, cancelamento, contrato, transferência, segregação, conciliação, informações aos investidores, diretores, relatório anual, terceiros e retenção documental.
Decisões de cobertura relevantes
Dispositivos de escopo e definição, como âmbito da norma, exclusão de derivativos, modalidades do serviço e equiparação de instituições ao emissor, foram mantidos como documentoPontos e usados para orientar segmentação e requisitos, mas não foram convertidos em obrigações autônomas. O art. 21, sobre infrações graves, foi mantido como ponto de cobertura e usado para calibrar criticidade de requisitos, especialmente autorização e comandos centrais, mas não virou requisito separado porque não adiciona ação empresarial específica além dos comandos já extraídos.
A revogação da Instrução CVM 542 foi registrada em alteracoesRequisitos. Como o pacote representa a Resolução CVM 32, não foram recriados os requisitos da instrução revogada. Essa decisão preserva a regra de que requisitos nascem e permanecem na pasta da norma que os originou; a norma revogadora registra o efeito, sem duplicar o conteúdo histórico.
A vigência geral de 1º de junho de 2021 foi usada para marcar os requisitos como vigentes no retrato da redação original. Não foram criados requisitos de vigência, porque o art. 24 não contém ação empresarial própria além de estabelecer o início de vigência do documento.
